Makecert
Nota
MakeCert è deprecato. Per creare certificati autofirmati, usare il cmdlet di Powershell New-SelfSignedCertificate.
Lo strumento MakeCert crea un certificato X.509 , firmato dalla chiave radice di test o da un'altra chiave specificata, che associa il nome alla parte pubblica della coppia di chiavi. Il certificato viene salvato in un file, un archivio certificati di sistema o entrambi. Lo strumento viene installato nella cartella \Bin del percorso di installazione di Microsoft Windows Software Development Kit (SDK).
Lo strumento MakeCert usa la sintassi di comando seguente:
MakeCert [BasicOptions ExtendedOptions|] OutputFile
OutputFile è il nome del file in cui verrà scritto il certificato. È possibile omettere OutputFile se il certificato non deve essere scritto in un file.
Opzioni
MakeCert include opzioni di base e estese. Le opzioni di base sono quelle più frequentemente usate nella creazione di certificati. Le opzioni estese offrono una maggiore flessibilità.
Le opzioni per MakeCert sono suddivise anche in tre gruppi funzionali:
- Opzioni di base specifiche solo per la tecnologia di archiviazione certificati.
- Opzioni estese specifiche solo per la tecnologia SPC-file e privata.
- Opzioni estese applicabili alla tecnologia SPC-file, chiave privata e archivio certificati.
Le opzioni specificate nelle tabelle seguenti possono essere usate solo con Internet Explorer 4.0 o versione successiva.
| Opzione di base | Descrizione |
|---|---|
| -UnAlgoritmo | Algoritmo hash . Deve essere impostato su SHA-1 o MD5 (impostazione predefinita). Per informazioni su MD5, vedere MD5. |
| -BDateStart | Data di validità del certificato. Il valore predefinito è quando viene creato il certificato. Il formato dateStart è mm/dd/aaaa. |
| -CyCertificateTypes | Tipo di certificato. CertificateTypes può essere finale per l'entità finale o l'autorità per l'autorità di certificazione. |
| -eDateend | Data di fine del periodo di validità. Il valore predefinito è l'anno 2039. |
| -EkuOID1,OID2 ... | Inserisce un elenco di uno o più identificatori di oggetti di utilizzo chiave avanzati (OID) separati da virgole nel certificato. Ad esempio, -eku 1.3.6.1.5.5.7.3.2 inserisce l'OID di autenticazione client. Per le definizioni degli ID consentiti, vedere il file Wincrypt.h in CryptoAPI 2.0. |
| -HNumChildren | Altezza massima dell'albero sotto questo certificato. |
| -LPolicyLink | Collegamento alle informazioni sui criteri dell'agenzia SPC,ad esempio un URL. |
| -MnMonths | Durata del periodo di validità. |
| -n"Name" | Nome per il certificato del server di pubblicazione. Questo nome deve essere conforme allo standard X.500 . Il metodo più semplice consiste nell'usare il formato "CN=MyName". Ad esempio: -n "CN=Test". |
| -nscp | L'estensione di autenticazione client Netscape deve essere inclusa. |
| -Pe | Contrassegna la chiave privata come esportabile. |
| -r | Crea un certificato autofirmato. |
| -M.bSubjectCertFile | Nome del file di certificato con la chiave pubblica del soggetto esistente da usare. |
| -SkSubjectKey | Posizione del contenitore chiave dell'oggetto che contiene la chiave privata. Se non esiste alcun contenitore di chiavi, ne viene creato uno. Se non viene usata né l'opzione -sk o -sv , viene creato un contenitore di chiavi predefinito e usato per impostazione predefinita. |
| -CieloSubjectKeySpec | Specifica chiave dell'oggetto. SubjectKeySpec deve essere uno dei tre valori possibili:
|
| -SpSubjectProviderName | Provider CryptoAPI per soggetto. Il valore predefinito è il provider dell'utente. Per informazioni sui provider CryptoAPI, vedere la documentazione di CryptoAPI 2.0. |
| -SuorSubjectCertStoreLocation | Posizione del Registro di sistema dell'archivio certificati dell'oggetto. SubjectCertStoreLocation deve essere LocalMachine (chiave del Registro di sistema HKEY_LOCAL_MACHINE) o CurrentUser (chiave del Registro di sistema HKEY_CURRENT_USER). CurrentUser è il valore predefinito. |
| -SsSubjectCertStoreName | Nome dell'archivio certificati dell'oggetto in cui verrà archiviato il certificato generato. |
| -SvSubjectKeyFile | Nome del file con estensione pvk dell'oggetto. Se non viene usata né l'opzione -sk o -sv , viene creato un contenitore di chiavi predefinito e usato per impostazione predefinita. |
| -SynSubjectProviderType | Tipo di provider CryptoAPI per oggetto. Il valore predefinito è PROV_RSA_FULL. Per informazioni sui tipi di provider CryptoAPI, vedere la documentazione di CryptoAPI 2.0. |
| -#Serialnumber | Numero di serie del certificato. Il valore massimo è 2^31. Il valore predefinito è un valore generato dallo strumento che è garantito essere univoco. |
| -$CertificateAuthority | Tipo di autorità di certificazione. CertificateAuthority deve essere impostato su commercial (per i certificati da usare dagli editori software commerciali) o singoli (per i certificati da usare da singoli editori software). |
| -? | Visualizza le opzioni di base. |
| -! | Visualizza le opzioni estese. |
Nota
Se l'opzione specifica chiave -sky viene usata in Internet Explorer versione 4.0 o successiva, la specifica deve corrispondere alla specifica della chiave indicata dal file di chiave privata o dal contenitore di chiavi private. Se l'opzione specifica della chiave non viene usata, verrà usata la specifica della chiave indicata dal file di chiave privata o dal contenitore di chiavi private. Se nel contenitore della chiave sono presenti più specifiche di chiave, MakeCert tenterà prima di tutto di usare la specifica della chiave AT_SIGNATURE. In caso di errore, MakeCert tenterà di usare AT_KEYEXCHANGE. Poiché la maggior parte degli utenti ha una chiave AT_SIGNATURE o una chiave AT_KEYEXCHANGE, questa opzione non deve essere usata nella maggior parte dei casi.
Le opzioni seguenti sono disponibili solo per i file SPC ( Software Publisher Certificate ) e la tecnologia a chiave privata.
| Opzione SPC e chiave privata | Descrizione |
|---|---|
| -IcIssuerCertFile | Posizione del certificato dell'autorità emittente. |
| -IkIssuerKey | Posizione del contenitore di chiavi dell'autorità emittente. Il valore predefinito è la chiave radice di test. |
| -ikyIssuerKeySpec | Specifica chiave dell'autorità emittente, che deve essere uno dei tre valori possibili:
|
| -IpIssuerProviderName | Provider CryptoAPI per l'autorità emittente. Il valore predefinito è il provider dell'utente. Per informazioni sui provider CryptoAPI, vedere la documentazione di CryptoAPI 2.0. |
| -IvIssuerKeyFile | File di chiave privata dell'autorità emittente. Il valore predefinito è la radice del test. |
| -IynIssuerProviderType | Tipo di provider CryptoAPI per l'autorità emittente. Il valore predefinito è PROV_RSA_FULL. Per informazioni sui tipi di provider CryptoAPI, vedere la documentazione di CryptoAPI 2.0. |
Nota
Se l'opzione -iky key specification viene usata in Internet Explorer 4.0 o versione successiva, la specifica deve corrispondere alla specifica della chiave indicata dal file di chiave privata o dal contenitore di chiavi private. Se l'opzione specifica della chiave non viene usata, verrà usata la specifica della chiave indicata dal file di chiave privata o dal contenitore di chiavi private. Se nel contenitore della chiave sono presenti più specifiche di chiave, MakeCert tenterà prima di tutto di usare la specifica della chiave AT_SIGNATURE. In caso di errore, MakeCert tenterà di usare AT_KEYEXCHANGE. Poiché la maggior parte degli utenti ha una chiave AT_SIGNATURE o una chiave AT_KEYEXCHANGE, questa opzione non deve essere usata nella maggior parte dei casi.
Le opzioni seguenti sono valide solo per la tecnologia dell'archivio certificati .
| Opzione Archivio certificati | Descrizione |
|---|---|
| -icIssuerCertFile | File contenente il certificato dell'autorità emittente. MakeCert cercherà nell'archivio certificati un certificato con una corrispondenza esatta. |
| -inIssuerNameString | Nome comune del certificato dell'autorità emittente. MakeCert cercherà nell'archivio certificati un certificato il cui nome comune include IssuerNameString. |
| -irIssuerCertStoreLocation | Percorso del Registro di sistema dell'archivio certificati dell'autorità emittente. IssuerCertStoreLocation deve essere LocalMachine (chiave del Registro di sistema HKEY_LOCAL_MACHINE) o CurrentUser (chiave del Registro di sistema HKEY_CURRENT_USER). CurrentUser è l'impostazione predefinita. |
| -isIssuerCertStoreName | Archivio certificati dell'autorità emittente che include il certificato dell'autorità e le relative informazioni sulla chiave privata associata. Se nell'archivio sono presenti più certificati, l'utente deve identificarlo in modo univoco usando l'opzione -ic o -in . Se il certificato nell'archivio certificati non è identificato in modo univoco, MakeCert avrà esito negativo. |
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per